Cloudflare入れたのに75%素通りだった話 ー 攻撃者も学習する
📝 続編あります: iptables入れたのにまだ27%直接アクセスされてた ー IPv6を忘れていた(https://zenn.dev/dhc4aki/articles/955d4fcbea3196) Cloudflare入れて安心してた 先日、WordPressサイトにCloudflareを導入しました。 https://zenn.dev/dhc4aki/articles/cloudflare-free-496-blocks 24時間で496件の脅威を緩和。エラー率も45%→32%に改善。「無料でここまでできるのか」と感動してました。 DNS浸透すれば完璧だろう、と。 「あれ、緩和率が下がってる...?」 数日後、Cloudflareのダッシュボードを見て違和感。
「脱VPN」がいよいよ加速? ランサムウェア感染、“SSL VPN廃止”の動きも
「脱VPN」がいよいよ加速? ランサムウェア感染、“SSL VPN廃止”の動きも:「前提が崩れた1年」 @IT編集部員の2026年展望 企業のITインフラを巡る前提が大きく揺らいだ2025年。その1年を振り返る中で、特に従来の当たり前が通じなくなったのが「VPN」でした。ランサムウェア攻撃の多発などもあり、そのリスクが浮き彫りになりました。【訂正】 企業のITインフラの“当たり前”として捉えられてきたもの――。2025年は、幾つかの視点からそれを見直す年になりました。仮想化インフラの分野で起きているような製品体系の再編や新たな事業者の参入といった変化もさることながら、アサヒグループホールディングスへのランサムウェア(身代金要求型マルウェア)攻撃も象徴的でした。ITシステムがいかに事業継続上の脆弱(ぜいじゃく)なポイントになり得るのかという現実を突き付けられました。 安心、安全の常識が揺らい
Claude Codeで開発するならWSL2ファイルシステムに資材を置きたい - 理系学生日記
Claude Codeを使い始めると、めちゃくちゃコマンドラインツールを使うことに気づくでしょう。grep飛ばして、find回して、sedで置換して。まるでコマンドラインの忍者です。 ぼくは業務上Windowsを使っているわけですが、そうすると「あー、WSL2入れとくか」となるわけです。UNIX系ツールが揃ってるしDockerも動くし完璧。Microsoftはえらい。 ところがです。他の人から「npm install遅くない?」って言われる。 原因が何か。Windows側にプロジェクト置いているんです。/mnt/c/Users/...配下に。この構成は遅くなる。 WSL2って、実は軽量VMなんです。WindowsとLinuxの間には、ちゃんと境界線が引かれています。その境界を越えてファイルアクセスするたびに、9Pっていうプロトコルが介在します。これが、思った以上に重い。 一応、公式の推奨は
既婚者同士の男女が二人きりで飲みに行くのはあり?
50代、結婚して20年は経つ父が、大学時代の同級生の女性(向こうも既婚者)に飲みに誘われ、行こうとして、母と大喧嘩。 相手の女性には「奥さんが良ければ」と言われたらしい。 母がよくないと言ってるから行かなければいいのでは?と思うのだけど、父は「なんでお前に交友関係を制限されなきゃいけないんだ。俺が稼いだ金で飲みに行くのに。そんなんなら離婚する」と言い放った。売り言葉に買い言葉ではあると思うのだけども、それにしてもびっくりしてしまった。 大前提、男女の関係に無い・不倫などはしていないものとして、妻が夫の交友関係(異性含む)に口出しするのはあまり良くないのだろうか。 分からない。意見が欲しい。 学生の私の感覚だと、彼氏彼女がいる以上、異性の友人と二人きりで飲みに行けないのはしょうがないもの、相手が嫌がるなら我慢しなきゃいけないと思うんだけども、父には「お前らみたいにラブラブで付き合ってるのとお
夜を制する者が “AI Agent 大民主化時代” を制する
「夜のブルーオーシャン」における AI エージェント稼働率が差別化された生産性となること、夜に行うべきタスクと遂行するための "FRONTIER AGENTS" を紹介しています。
クラウドネイティブなデータベースはなぜコンピュートとストレージを分離するのか - hacomono TECH BLOG
この記事は hacomono Advent Calendar 2025 の12日目の記事です。 基盤本部で今後のhacomonoのアーキテクチャ設計をしている @bootjp と申します。 今年はマイクロサービス化に向けての社内共通のイベントバスの設計や基盤周りの設計/実装を行っていました。 以前にはこのような記事を書き、分散システムや分散データベース、分散ストレージなどが大好きです。 「Goで作って理解するRaftベースRedis互換KVS」という同人誌も書いています。 もし興味のある方はお手にとってみてください。 はじめに 今回は「クラウドネイティブデータベース」と言われる、昨今のデータベースにおけるコンピューティングとストレージの分離について、どのような動機でこの構成になったのか、利用者としてどのようなメリットがあるのか、そしてトレードオフは何かということについて記事を書かせていただ
FTP
FTPでソース・ファイルをそのままアップロードすると漢字の文字化けとなって悩まされる ことになる。 これは HTTPサーバーの設定であれば CHGHTTPA CCSID(00819)というように 日本語設定が可能であるが、FTPサーバーの場合、CHGFTPA CCSID(00819) が認められずに、つねに CCSID=00932 (英小文字) であるからである。 つまり FTPサーバーは iSeries400がつねに英語環境である と理解されてしまって いるからである。 このことを回避して漢字も正しくアップロードするにはFTPで「TYPE B 1」を指定すればよい。 ただし、「TYPE B 1」を指定するには「NAMEFMT 1」の指定が必要であるので、 メンバーなどの指定方法は MYSRCLIB/MYSRCFILE.MYSRCMBR の形式ではなく、 /QSYS.LIB/MYSRCLI
ランサム攻撃、身代金支払企業の8割が再被害 米社調査 - 日本経済新聞
米セキュリティー大手のサイバーリーズンはランサムウエア(身代金要求型ウイルス)攻撃に遭って身代金を支払った企業のうち、8割が再度攻撃に遭っているとする調査結果を発表した。そのうちほぼ半数は1回目と同じ攻撃者だった。同社は「身代金を支払うことは攻撃からの素早い復旧を保証しない」としている。ランサムウエア攻撃は企業のデータを暗号化して使えなくしたうえで、復旧と引き換えに身代金を要求する。1400人
【npm】11月21日以降にnpm installした人へ - Shai-Hulud感染チェック & 多層防御ガイド
npm史上最悪のサプライチェーン攻撃「Shai-Hulud 2.0」。正規パッケージのメンテナー認証情報を盗み、悪意あるバージョンをnpmに公開するという手口で、11月21日から急速に拡散しました。 この記事では2つのことを解説します: 自分が被害にあっていないか確認する方法 今後の被害を防ぐ多層防御アプローチ *この記事と同じ内容を動画でも解説していますので、動画の方が好きな方は下記からどうぞ 被害確認 - あなたは大丈夫か? Shai-Hulud 2.0は11月21日から急速に拡散しました。この日以降にnpm installを実行した人は、感染の可能性があります。 チェック1: GitHubアカウントの確認(ブラウザで完結) 確認ポイント1: 見覚えのないリポジトリ まずGitHubで自分のリポジトリ一覧を確認。 Shai-Huludは感染したアカウントにランダムな名前のパブリックリポ
S&P500神話の終わる時 ~インデックス投資バブルの形成過程と、AI投資がもたらす株式市場のレジームチェンジ~|五月(片山晃)
S&P500神話の終わる時 ~インデックス投資バブルの形成過程と、AI投資がもたらす株式市場のレジームチェンジ~ 1.実体経済とは別物になった米国株式市場 1990年代の米国株の時価総額上位は、エクソンモービル(石油)、AT&T(通信)、ウォルマート(小売)、ゼネラル・エレクトリック(電気機器)、メルク(製薬)、コカコーラ(食品)、シティグループ(銀行)といった銘柄で構成されていた。 2025年現在の時価総額上位は、Nvidia、マイクロソフト、アップル、アマゾン、メタ、ブロードコム、アルファベット(Google)、テスラなどで、ネットやITサービス、半導体などのテックカンパニーに大きく偏っている。 首位のNvidiaが4.3兆ドル、2位マイクロソフトと3位アップルが3兆ドル後半の時価総額を付けているのに対して、10位のJPモルガン、11位のウォルマートが0.8兆ドル、15位のビザ、18位
AWS Lambdaで300万円以上課金されてしまった怖い話 | LAC WATCH
各サービスに加え、サポート費用、消費税諸々含め300万以上の課金が発生しました。 幸い今回の事象はラックの検証環境上で発生した事象のため、お客様への影響はなかったものの、これが「もしお客様環境で起きていたら......」と考えると背筋が凍ります。 事象の原因 今回上記(A)(B)の仕組みを定期的に実行する想定で各々EventBridgeルールの設定をしましたが、(B)のEventBridgeルールの設定に考慮漏れがありました。 具体的には、以下のように記載をしていました。 EventBridgeルールの作成時、イベントパターンのフォームから生成したJSONとなります。 ※ S3にオブジェクトが配置されたら後続処理を実施するというテンプレートを使用しました。 テンプレートの内容を深く理解せず、そのまま流用したことが本事象の発端となっていました。 ※ ただ、EventBridgeでは、ルールが
企業からのデータ流出ルートは「ウェブブラウザでのコピペ」が最多
企業から外部にデータが漏れるルートとして、これまでは「添付ファイル」「アップロード」「ファイル共有」などが危険視されてきましたが、最新の調査により「ウェブブラウザからコピー&ペーストを介して流出する」という事例が最も多くなっていることがわかりました。 Why The Browser Has Become the Enterprise’s Most Overlooked Endpoint - LayerX https://layerxsecurity.com/blog/why-the-browser-has-become-the-enterprises-most-overlooked-endpoint/ Copy-paste now exceeds file transfer as top corporate data exfiltration vector | SC Media https
返信ボタンがあると一番暇な人が議論に勝つ - 西尾泰和の外部脳
There is no reply button, because we discovered that if there is a reply button, people with the most time wins the argument automatically, because they have more time to troll (laughs) people. If you take away the reply button, there’s no way for a troll to grow, and instead of just trolling each other, people start sharing their authentic feelings for other people to resonate. --- Audrey Tang 返信
大規模プロダクトで実践するAI活用の仕組みづくり
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
実はあまり理解されていないLLMの企業導入セキュリティ課題|AI・YouTuebeと事業コンサルのFujiyamall
生成AIやLLMの導入を検討するとき、多くの企業はまず性能やコストを比較します。 さらに慎重な担当者であれば、「国内リージョンに対応しているクラウドなら安心だ」と考えるかもしれません。 しかし、実はそれだけでは十分ではありません。 本当に重要なのは、LLMのエンドポイント単位で日本法の管轄に閉じられるかどうかです。 もちろん、企業ごとにセキュリティポリシーは異なり、それを問題視しないケースもあるでしょう。 それでも、日系企業のコンサルティングに数多く関わってきた立場から言えば、決して単純に済ませられるポイントではないと強く感じています。 この記事では、その理由を整理していきます。 日本企業が本当に求める前提条件日系の大企業やエンタープライズにおいて、LLM導入の大前提は次の3つではないでしょうか。 日本法で裁判・責任追及ができること データを国内に閉じられること 投入したデータがLLMの学
ソフトバンク系、コールセンターをAIで代替 安全性と信頼性を確保 外販開始
ソフトバンク子会社のGen-AXは11月10日、自律思考型AIオペレーター「X-Ghost」の正式提供を開始した。三井住友カードとの実証を経て、一定規模以上のコンタクトセンターを持つ企業向けに販売する。 X-Ghostは、AIが自ら思考し自然な音声で顧客対応を行うシステム。24時間365日対応が可能な音声対話AIエンジンを備え、発話やシステム挙動をリアルタイムで監視するモニタリングAIを搭載。リスク判定とガードレール制御により、安全性と信頼性を確保する。 従来の音声認識や言語処理を組み合わせる方式に比べ、Speech-to-Speechモデルの採用で遅延や誤り伝搬などの課題を解消したという。さらに、会話の文脈に応じて社内APIを自動で呼び出す機能も持つ。 問い合わせ市場は拡大しており、コンタクトセンターを含む市場規模は2024年度中に2兆円に達すると予測される。一方で、AI導入後の運用定着
破産者が自分の信用情報を開示請求して判ったこと。|だっちゃん
タイトルどおり、先日CICに自分の信用情報開示報告書を照会した。 得られた報告書を紐解くと、「ネットの経験知」レベルであったことの幾つかは、「本当だったんだ」という確度をもって断定できるようになった。 そして「信用ブラックになった人間がとるべき行動」や、そうでない人も「自分の信用スコアを最大化する為に採るべき最適行動」について、示唆を得ることが出来た。 このエントリでは、順を追って解説することで備忘録とし、併せて皆さま(特に現在信用ブラックの方)の便益に資されたい。 (読むのが面倒であれば、最後にtipsとして一覧にしている。ただ当たり前のことしか書いてないが。) 時系列その年の元旦。まだ平成だったが、その日、私は借金まみれの生活を自力でどうにかすることを諦め、破産することを決めた。 無気力で自堕落な私がそこから弁護士事務所に向かうのには、更にひと月の時間を要した。 弁護士と今後の対応を協
急激に改善する財政状況|永濱利廣(第一生命経済研究所首席エコノミスト)
日本成長戦略会議に「積極財政派」 高市早苗首相トップに始動へ - 日本経済新聞 現在のマクロ経済状況で財政政策を考える場合、最も重要な視点は、税金を取りすぎて緊縮財政になっているか否かという点でしょう。 というのも、日本の財政状況を日銀の資金循環統計でみると、一般政府の資金過不足は急速に改善し、2024年度末時点で資金不足はほぼ解消されつつあります(図表1)。なお、日銀の資金循環統計における一般政府は中央政府、地方公共団体、社会保障基金がすべて統合されています。このため、税と社会保障の一体改革を考えるのであれば、本来このデータで考えるべきであり、国民負担を考える際にも、社会保険料を入れて考えるのが合理的となります。 また、日銀の資金循環統計は世界共通の概念で統一されているため、国際比較の上でも望ましいという特徴があります。例えば日本の予算編成では、債務償還費を含めて国債費としていますが、世
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
dandelions forever
GitHub - openai/openai-fm: Code for openai.fm, a demo for the OpenAI Speech API
